[ca-certificates] Sécurité firefox. (Résolu)

[alh54]

Bonjour,
Qand j'accède à un site en https, par exemple https://bugzilla.rpmfusion.org/show_bug.cgi?id=3477, la notification de sécurité apparait mais le bouton "autoriser l'exception de sécurité est grisé. C'est sans doute lié à mise à jour de ca-certificates, j'ai déjà appliqué ce qui a été publié dans la news.

Code : Tout sélectionner

[root@darine ~]# ls /usr/share/ca-certificates/trust-source
anchors    mozilla.neutral-trust.crt   mozilla.trust.crt
blacklist  mozilla.supplement.p11-kit

[root@darine ~]# ls /usr/share/ca-certificates/trust-source/anchors
CAcert.org_class3.crt  CAcert.org_root.crt

D'autre part, dans pacman.log j'ai pas mal de lignes de ce type:

p11-kit: certificate with distrust in location for anchors: CAcert_Class_3_Root.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Explicitly_Distrusted_Malaysian_Digicert_Sdn._Bhd.__en_.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Google.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Cyber_CA_2nd.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Mozilla_Addons.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Root_CA.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Global_Trustee.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_live.com.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_3.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: USERTrust_Legacy_Secure_Server_CA.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_2.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Cyber_CA.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: MD5_Collisions_Forged_Rogue_CA_25c3.crt
[2014-12-28 08:56] [ALPM-SCRIPTLET] p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_1.crt
...

Quelu'un peut-il m'expliquer sommairement leurs signification.

Merci.

Edition: Ah oui! en lançant firefox:

Code : Tout sélectionner

[hechmi@darine ~]$ firefox

(process:1426): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed
p11-kit: certificate with distrust in location for anchors: CAcert_Class_3_Root.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrusted_Malaysian_Digicert_Sdn._Bhd.__en_.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Google.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Cyber_CA_2nd.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Mozilla_Addons.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Root_CA.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Global_Trustee.crt
p11-kit: certificate with distrust in location for anchors: Bogus_live.com.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_3.crt
p11-kit: certificate with distrust in location for anchors: USERTrust_Legacy_Secure_Server_CA.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_2.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Cyber_CA.crt
p11-kit: certificate with distrust in location for anchors: MD5_Collisions_Forged_Rogue_CA_25c3.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Yahoo_1.crt
p11-kit: certificate with distrust in location for anchors: Bogus_GMail.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrusted_DigiNotar_PKIoverheid.crt
p11-kit: certificate with distrust in location for anchors: CA_Cert_Signing_Authority.crt
p11-kit: certificate with distrust in location for anchors: VeriSign_Class_3_Secure_Server_CA_-_G2.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrusted_DigiNotar_PKIoverheid_G2.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrusted_Malaysian_Digicert_Sdn._Bhd.__cyb_.crt
p11-kit: certificate with distrust in location for anchors: Explicitly_Distrust_DigiNotar_Services_1024_CA.crt
p11-kit: certificate with distrust in location for anchors: TC_TrustCenter_Universal_CA_III.crt
p11-kit: certificate with distrust in location for anchors: UTN-USERFirst-Network_Applications.crt
p11-kit: certificate with distrust in location for anchors: Bogus_Skype.crt
1419849922272	GMPInstallManager.simpleCheckAndInstall	INFO	Last check was: 34175 seconds ago, minimum seconds: 86400
1419849922272	GMPInstallManager.simpleCheckAndInstall	INFO	Will not check for updates.

On dirait que les certificats ont été révoqués.

[FoolEcho]

Salut,

Ce que tu observes se retrouve sur ce sujet: https://bbs.archlinux.org/viewtopic.php?id=190929&p=1 .
Comment as-tu suivi les directives de mise à jour ? (sachant que si tu n'avais pas de certificats persos, tu n'avais rien à faire en fait)

[alh54]

Merci pour ta réponse, c'est vrai que je n'ai pas de certificats persos mais firefox et certains clients se connectant en ssl ont besoin de ces certificats. J'ai quant même appliqué ce qui est dit dans la news.

Je vois que je ne suis pas le seul à souffrir de cette mise à jour, j'ai voulu faire comme indiqué au post 9 du fil que tu cites mais cela nécessite la suppression de dépendances qui à leur tour peuvent demander la suppression d'autres dépendances ... bref j'ai arrêté.

La solution, toujours dans le fil indiqué, semble le PKGBUILD du post 37. qu'en penses-tu?

[FoolEcho]

La solution, toujours dans le fil indiqué, semble le PKGBUILD du post 37. qu'en penses-tu?

Que si tu n'utilises pas icaclient, je n'en vois pas l'intérêt.

[alh54]

Que faire alors? je suis complètement paumé!

[benjarobin]

Je n'ai aucun souci pour le site donné... Car tu as fais des modifications ? La News indique bien qu'aucune opération n'est nécessaire si tu n'as pas de certificat personnel. En gros si tu n'as jamais touché au certificat il ne fallait rien faire

[FoolEcho]

La solution serait de supprimer ces certificats vu qu'ils sont indiqués comme non fiables puis réinstaller ca-certificates et cie (ca-certificates-mozilla) je pense... bien les réinstaller en tant que dépendance (--asdeps).

Tu n'as touché à rien dans /etc/ssl/certs/ ?

[alh54]

Tu n'as touché à rien dans /etc/ssl/certs/ ?

Si j'ai déplacé tous les *.pem vers /etc/ca-certificates/trust-source/anchors/ et les ai renommés en *.crt.
Finalement j'ai fait un truc à la bourrin, rm -f /etc/ca-certificates/trust-source/anchors/*.crt, install de ca-certificates-cacert et ca-certificates-mozilla avec l'option --asdeps comme l'a suggéré FoolEcho. Le souci semble résolu.

Merci pour vos contributions, j'attends de voir si n'aurai pas de souci de certificat avec autre chose avant de marquer ce fil en résolu.